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(54) Sicfierheitsmodul mit Statusstgnailsierung 



(57) Die Erfindung betrifft ein Sicherheitsmodul 

mit Statussignalisierung. mit einer Batterie und 
Funktionseinheiten. welche miteinander verschaltet und 
von einer Vergu&masse bedeckt sind. Eine Batterie (134) 
ist auswechselbar auf dem SicherheitBmodul (100) 
angeordnet, wot)ei die VerguQmasse (105) einen ersten 
Teil der Leiterplatte (106) umglbt, v^hrend ein zweiter 
Teil der Leiterplatte (106) fOr cfie auswechselbar 
angeordnete Batterie (134) von Vergu&masse frei bieibt 
Zur Signalisierung des Modulzustandes ist ein optisches 
Oder akustisches Signatmittel (107, 108) an der 



Leiterplatte (106) angeschlossen. 
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Beschreibung 

[0001] Die Erfindung betrifft ein Sicherhertsmodul mit Statussignalisierung, gemas der im Oberbegriff des 
Patentanspruchs 1 angegebenen Art. Ein solcher postalischer Sicherheitsmodul ist insbesondere fur den Einsatz in 

g einer Frankiernnaschine bzw. Postbearbeitungsmaschine oder Computer mit Postbearbertungsfunktion geeignet. 

[0002] Moderne Frankiermaschinen, oder andere Einrichtungen zum Frankieren von Postgut, sind mtt einem 
Drucker zum Drucken des Postwertstempels auf das Postgut, mit einer Steuerung zum Steuern des Druckens und der 
peripheren Komponenten der Frankiermaschine, mit einer Abrecheneinheit zum Abrechnen von Postgebuhren, die in 
nichtfluchtigen Speichern gehalten werden, und einer Einhelt zum kryptografischen Atjsichem der Postgebuhrendaten 
ausgestattet Die Abrecheneinheit und/oder die Einheit zum Absichern des Druckens der Postgebuhrendaten kann von 

10 einem sogenannten Sicherheitsmodul realisiert werden {EP 789 333 A2), 

[0003] Der Prozessor des Sicherheitsmoduls ist beispielsweise ein OTP (One Time Programmabfe), welcher 
sensible Daten, wie kryptografische SchlQssel. auslesesicher speichert Die Kapselung durch ein Sicherheitsgehause 
bietet ein en werteren Schutz. 

[0004] Sicherheitsmodule sind auch von anderen efektronischen Datenverarbeitungsanlagen bereitB bekannt und 
mit Mittein zum Schutz vor einem Einbruch in ihre Elektronik ausgestattet (EP 417 447 B1). 

[0005] Weitere MaQnahmen zum Schutz eines Sicherheitsmoduls vor einem Angriff auf die in ihm gespeicherten 
Daten wurden auch in den nicht vorverOffenttichten deutschen Anmefdungen 198 16 572.2 und 198 16 571.4 
vorgeschlagen. Bei einer Vielzahi von Sensoren steigt der Stromverbrauch und ein ntcht stdndig von einer 
Systemspannung versorgter Sicherheitsmodul zieht dann den fOr die Sensoren benOtigten Strom aus seiner intemen 
Batterie, was letztere ebenfalls frOhzeitig erschOpft Die Kapazttat der Batterie und der Stromverbrauch beschranken 
20 somit die Lebensdauer eines Sicherheitsmoduls. 

[0006] Sicherheitsnriodule fOr Frankiermaschinen k6nnen ais Multi-Chip-Module oder afs Ein-Chip-Systeme (z.B. 
Chipkarten) realisiert werden. Sie sind konstruktiv entv^er fest mit der Frankiermaschine verbunden oder steckbar. 
Gerade ein steckbares Sicherheitsmodul kann in seinem Lebenszyklus verschiedene Zustande einnehmen. Oab& mul& 
detektiert werden. ob das Sicherheitsmodul gQltige kryptografische SchlQssel enthait Weiterhin ist es auch wichtig 
zu unterscheiden, ob das Sicherheitsmodul funktioniert oder defekt ist Nachteilig ist, dass dafOr ein geeignetes 
"Zustandstesegerar, beispielsweise eine Frankiermaschine oder ein anderes Gerat vorhanden sein mu(^. Letzteres 
kann unter Umstanden zu einer manipulierten fatschen Zustandssignalisierung veranladt werden. Existierende 
Sicherheitsmodule fOr Frankiermaschinen besitzen keine eigenen optischen Oder akustschen Signalmittel. Sie kdnnen 
ihren Zustand nur indirekt, beispielsweise Qber Beeper oder die Anzeigeelemente einer Frankiermaschine, ausgeben. 
Die Zustandsanzeige kann hierbei automatisch beim Starten des Systems Oder interaktiv durch den Benutzter der 
Frankiermaschine aufgerufen werden, wenn die Sicherheit bei der Signalisterung eines Zustandes garantiert werden 
kann. 

[0007] Der Erfindung liegt die Aufgat>e zugrunde, fQr ein steckbares Sicherheitsmodul eine hohe Lebensdauer zu 
erzielen und es zur sicheren Signalisterung des Modulzustandes auszubtlden. 
[0008] Die Aufgat>e wird mit den Merkmalen des Patentanspruchs 1 gelOst 

[0009] Die Schattung mit dem Prozessor des Sicherheitsmoduls. der auslesesicher sensible Daten enthatt. und 
35 weiteren Funktionseinheiten werden ledigiich durch eine VerguGmasse geschOtzt Deshalb v^rd die Hauptplatine eines 
Meters bzw. einer vergleichbaren Steuereinrlchtung mit einem Sicherheitsgehause umgeben, welches ggf. zusatzlich 
versiegelt ist Das Sicherheitsmodul ist mit einer harten Masse vergossen. FQr einen Batteriewechsel bzw. Entsorgung 
ist die Batterie jedoch auOerhalb der Vergudmasse angeordnet In vorteiihafter Weise kann bei einem gestecktem 
Sicherheitsmodul. welches zum Servicezeitpunkt von einer Systemspannung versorgt wird, die Batterie von einem 
Servicetechniker teicht ausgewechselt werden. 
^ [0010] Es ist beim erfindungsgemaC^en Sicherheitsmodul vorteilhaft. wenn letzteres selbststandig - bei Aniegen 
der Bethebsspannung - optisch (oder akustisch) seinen Zustand signalisiert Es ist hierbei mOgtich und auch 
ausreichend. wenn das Modul nur ein grobe Unterscheidung des aktuellen Zustands durch eigene Signalmittel zuiaGt 
Die genaue Art und Anzahl der Modulzustande ist von den realisierten Funktionen im Modul und von der 
Implementierung at>hdngig. 

45 [0011] Das Sicherheitsmodul fOr eine Frankiermaschine nimmt deren Funktion einer Abrechnung der 

Postgebuhren und/oder die kryptografische At>sicherung der Postgebuhrendaten war. Es ist erfindungsgemaQ durch 
eigene Signalmittel oder eine Anzeigeeinheit gekennzeichnet, die bei direkter Ansteuerung vom Sicherheitsmodul eine 
Aussage uber den aktuellen Zustand des Sicherheitsmoduls gestatten, wot>ei der Modulzustand geandert wird, wenn 
das Sicherheitsmodul in den ungesteckten Zustand QberfQhrt wird und/oder wenn die Batteriespannung unter eine 
vorbestimmte Schwelle sinkt die jedoch t>ei Versorgung des Sicherheitsmoduls mit Systemspannung unterbrochen ist 

50 Die Signalisierung des Modulzustandes wird nur bei Versorgung des Sicherheitsmoduls mit Systemspannung aktiviert. 
Es ist vorgesehen, dass das Signalmittel in demjenigen Bereich einer Leiterplatte des Sicherheitsmoduls montiert ist. 
wo das umgebende Sicherheitsgehause zur Signalisierung des Modulzustandes ein Sichtfenster bzw. eine Offnung 
aufweist Das Signalmittel ist vorteilhaft als Anzeigeeinheit realisiert und kann im ein^chsten Fall eine 
Leuchtdiode LED sein. Sie kann durch das Vergu&material hindurchragen. /Vttemativ oder zusatzlich sind mehrere oder 
mehrfarbige LED's Oder eine FIQssigkristallanzeige LCD o.a. Signalmittel mdglich, die am von Vergufimaterial freien 

^ Teil der Leiterplatte angeordnet sind. 

[0012] Vorteilhafte Weitert>ildungen der Erfindung sind in den Unteranspruchen gekennzeichnet bzw. werden 
nachstehend zusammen mit der Beschreibung der t>evorzugten AusfQhrung der Erfindung anhand der Figuren ndher 



2. 



dargestellt. Es zeigen: 
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Figur 1. Perspektivische Ansicht der Frankiermaschine von hinten, 

^ Figur 2, Blockschaltbiid des Sicherheitsmoduls, 

Figur 3. Seitenansicht einer ersten Variante des Sicherheitsmoduls, 
Figur 4, Oraufsicht auf das Sicherheitsmodul in der ersten Variante. 

10 ^^9^^ Ansicht des Sicherheitsmoduls (1 .Variants) von rechts, 

Figur 5b, Ansicht des Sicherheitsmoduls (1 .Variante) von links, 
Figur 6, Seitenansicht einer zweiten Variante des Sicherheitsmoduls, 

15 Figur 7. Oraufsicht auf das Sicherheitsmodul in der zweiten Variante, 

Figur 8a, Ansicht des Sicherheitsmoduls (2.Variante) von rechts, 
Figur 8b, Ansicht des Sicherheitsmoduls (2. Variante) von links. 



[9013] In der Figur 1 ist eine perspektivische Ansicht der Frankiermaschine von hinten dargestellt Die 
Frankiermaschine besteht aus einem Meter 1 und einer Base 2. Letztere ist mit einer Chipkarten-Schretb/ Leseeinheit 
70 ausgestattet. die hinter der FQhrungsplatte 20 angeordnet und von der Gehduseoberkante 22 zugdnglich ist Nach 
dem Einschalten der Frankiermaschine mittels dem Schalter 71 wird eine Chipkarte 49 von oben nach unten in den 

25 Einsteckschlitz 72 eingesteckt Ein zugefQhrter auf der Kante stehender Brief 3. der mit seiner zu bedruckenden 
Oberildche an der FQhrungsplatte aniiegt, wird dann entsprechend der Eingabedaten mit einem Frankierstempel 31 
bedruckt Die Brief^ufuhrCkffhung wird durch eine Klarsichtplatte 21 und die FQhrungsplatte 20 seitKch begrenzt . 
[0014] Das Modul wird auf cfie Hauptplatine des Meters der Frankiermaschine Oder anes anderen geeigneten 
Cerates gesteckt Es ist vorzugsweise innerhalb des Metergehauses untergebracht wetehes als Sicherheitsgehduse 
ausgebildet ist Das Metergehduse ist dabei vorteilhaft so konstruiert. daQ der Benutzer die Statusanzeige des 

30 Sicherheitsmoduls trotzdem von auOen durch eine Offnung 109 sehen kann. wobei sich die Offnung 109 zur 
Bedienoberflache 88, 89 des Meters 1 erstreckt 

[0015] Die Anzeige wird direkt vom modulinternen Prozessor gesteuert und ist so von auten nicht ohne weiteres 
maniputierbar. Die Anzeige ist im Betriebszustand stdndig aktiv, so dad das Aniegen der Systemspannung Us-^ an den 
Prozessor des Sicherheitsmoduls ausreicht die Anzeige zu aktivieren, um den Modulzustand ablesen zu kdnnen. 

^ [0016] Die Figur 2 zeigt ein Blockschaltbikl des postalischen Sicherheitsmoduls PSM 100 in einer bevorzugten 
Variante. Der negative Pol der Batterie 134 ist auf Masse und einen Pin P23 der Kontaktgruppe 102 gelegt Der 
positive Pol der Batterie 134 ist uber die Leitung 193 mtt dem einen Eingang des Spannungsumschalters 180 und die 
Systemspannung fOhrende Leitung 191 ist mtt dem anderen Eingang des Spannungsumschalters 180 verbunden. Als 
Batterie 134 eignet sich der Typ SL-389/P fQr eine Lebensdauer bis zu 3.5 Jahren oder der Typ SL-386/P fOr eine 
Lebensdauer bis zu 6 Jahren bei einem maximalen Stromverbrauch durch das PSM 100. Als Spannungsumschalter 

40 180 kann ein handelsublicher Schaltkreis vom Typ ADM 8693ARN eingesetzt werden. Der Ausgang des 
Spannungsumschalters 180 liegt uber die Leitung 136 an einer SpannungsObenvachungseinhert 12 und einer 
Detektionseinheit 13 an. Die SpannungsQben/vachungseinheit 12 und die Detektionseinheit 13 stehen mit den Pins 1, 2. 
4 und 5 des Prozessors 120 uber die Leitungen 135, 164 und 137. 139 in Kommunikationsvertwndung. Der Ausgang 
des Spannungsumschalters 180 liegt Qber die Leitung 136 au^erdem am Versorgungseingang eines ersten Speichers 
SRAM an, der durch die vorhandene Batterie 134 zum nichtfiachtigen Speicher NVRAM 116 einer ersten Technologie 

45 v^flrd. 

[0017] Das Sicherheitsmodul steht mit der Frankiermaschine Uber den Systembus 115,117, 118 in Verbindung. 
Der Prozessor 120 kann uber den Systembus und ein Modem 83 in Kommunikationsverbindung mit einer entfemten 
Datenzentrale eintreten. Die Abrechnung wird vom ASIC 150 vollzogen. Die postalischen Abrechnungsdaten werden in 
nichtflQchtigen Speichern unterschiedlicher Technologie gespeichert Am Versorgungseingang eines zweiten Speichers 
NV-RAM 114 liegt Systemspannung an. Hierbei handelt es sich um einen nichtflQchtigen Speicher NVRAM einer 
^ zweiten Technologie, (SHADOW-RAM). Diese zweiten Technologie umfafit vorzugsweise ein RAM und ein EEPROM. 
wobei letzteres die Dateninhalte bei Systemspannungsausfall automatisch Qbemimmt Der NVRAM 1 14 der zweiten 
Technologie ist mit den entsprechenden Adress- und Dateneingangen des ASIC's 150 Qber einen internen Adreli- und 
Datenbus 112. 113 verbunden. 

[0018] Der ASIC 150 enthait mindestens eine Hardware-Abrecheneinheit fQr die Berechnung der zu speichernden 
55 postalischen Daten. In der Programmable Array Logic (PAL) 160 ist eine Zugriffslogik fQr den ASIC 150 untergebracht 
Der ASIC 150 v^rd durch die Logik PAL 160 gesteuert. Ein Adreli- und Steuerbus 117, 115 von der Hauptplatine des 
Meters 1 ist an entsprechenden Pins der Logik PAL 160 angeschlossen und die PAL 160 erzeugt mindestens ein 
Steuersignal fQr das ASIC 150 und ein Steuersignal 119 fiir den Programmspeicher FLASH 128. Der Prozessor 120 
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arbertet ein Programm ab, das im FLASH 128 gespeichert ist Der Prozessor 120, FU^SH 28. ASIC 12 und PAL 160 
sind Qber einen modulinternen Systembus miteinander verbunden, der Lertungen 110,111,126,119 fOr Daten-, AdreG- 
und Steuersignale enthdtt 

[0019] Die RESET-Einheit 130 ist iiber die Leitung 131 mit dem Pin 3 des Prozessors 120 und mit einem Pin des 
ASIC's 150 verbunden. Der Prozessor 120 und das ASIC 150 werden bei Absinken der Versorgungsspannung durch 
eine Resetgenerierung in der RESET-Einheit 130 zurQckgesetzt. 

[0020] Der Prozessor 120 weist intern eine Verarbeitungseinheit CPU 121, eine Echtzeituhr RTC 122 eine RAM- 
Einheit 124 und eine Ein/Ausgabe-Einheit 125 auf Der Prozessor 120 des Sicherheitsmoduls 100 ist Ober einen modul- 
internen Datenbus 126 mit einem FLASH 128 und mit dem ASIC 150 verbunden. Der FU\SH 128 dient als 
Programmspeicher und wird mit Systemspannung Us+ versorgt Er ist beispieisweise ein 128 Kbyte-FLASH-Speicher 
vom Typ AM29F010-45EC. Der ASIC 150 des postalischen Sicherheitsmoduls 100 liefert Qber einen modulinternen 
AdreSbus 110 die Adressen 0 bis 7 an die entsprechenden Adrefteing^nge des FLASH 128. Der Prozessor 120 des 
Sicherheitsmoduls 100 liefert uber einen internen Adrefibus 111 die Adressen 8 bis 15 an die entsprechenden 
Adresseingdnge des FLASH 128. Der ASIC 150 des Sicherheitsmoduls 100 steht Qber die Kontaktgruppe 101 des 
Interfaces mit dem Datenbus 118, mit dem AdreQbus 117 und dem Steuerbus 115 der Hauptplatine des Meters 1 in 
Kommunikationsvert)indung. 

[0021] Der Spannungsumschatter 180 gibt als Ausgangsspannung auf der Leitung 136 fur die 

SpannungsQberwachungseinheit 12 und Speicher 116 diejenige seiner Eingangsspannungen v^eiter, die grOQer als die 
andere ist Durch die Mdgiichkeit, die beschriebene Schaitung in Abhdngigkeit von der HOhe der Spannungen Us-*- und 
Ub-t* automatisch mit der grOGeren von beiden zu speisen, kann wdhrend des Normal betriet>8 die Batterie 134 ohne 
Datenverlust gewechsett werden. Die Echtzeituhr RTC 122 und der Speksher RAM 124 werden von einer 
Betriebsspannung Qber die Leitung 138 versorgt Diese Spannung wird von der SpannungsQberwachungseinheit 12 
erzeugt 

[0022] Die Batterie der Frankiermaschine speist in den Ruhezeiten auderhalb des Normalbetriebes in vorerwdhnter 
Weise cfie Echtzeituhr 122 mit Datums und/oder Uhrzeitregistem und/oder den statischen RAM (SRAM) 124, der 
sicherheitsrelevante Daten halt Sinkt die Spannung der Batterie v^hrend des Batteriebetriebs unter eine bestimmte 
Grenze. so wird von der Schaitung 12 der Speiaepunkt fOr RTC und SRAM mit Masse verbunden. D.h. die Spannung 
an der RTC und am SRAM liegt dann bei OV. Das fQhrt dazu, dafl der SRAM 124. der z.B. wichtige kryptografische 
SchlQssei enthatt. sehr schnell gelOscht wird. Gleichzeitig werden auch die Regialer der RTC 122 gelOscht und die 
aktuelle Uhrzeit und das aktuelle Datum gehen verloren. Durch diese Alctk>n wird verhindert, dafi ein mOglicher 
Angreifer durch Manipulation der Batteriespannung cHe frankiennaschineninteme Uhr 122 anhait. ohne daQ 
sicherheitsrelevante Daten verloren gehen. Somit wird verhindert, daQ er SicherheitsmaQnahmen, wie k>eispielsweise 
Long Time Watchdogs umgeht 

[0023] Die Schaitung der SpannungsQberwachungseinheit 12 ist beispielsweisa so dimensioniert dafi jeglk^hes 
Absinken der Batteriespannung auf der Leitung 136 unter die spezifizierte Schweile von 2.6 V zum Ansprechen der 
Schaitung 12 fOhrt Gleichzeitig mit der Indikation der Unterspannung der Batterie wechselt die Schaitung 12 in 
einen Seibsthaltezustand, in dem sie auch bei nachtrdglicher ErhOhung der Spannung bleibt Sie Kefert auQerdem ein 
Statussignal 164. Beim nachsten Einschalten des Moduls kann der Prozessor den Zustand der Schaitung abfragen 
(Statussignal) und damit und/oder Qber die Auswertung der Inhalta des gelOschten Speichers darauf schliefien. da& die 
Batteriespannung zwischenzeitlich einen bestimmten Wert unterschritten hat Der Prozessor kann die 
ObenA^chungsschaltung 12 zurucksetzen. d.h. "scharT machen. Letztere reagiert auf ein Steuersignal auf der Leitung 
135. 

[0024] Die Leitung 136 am Eingang des Batterieobservers 12 versorgt zuglewh eine Detektions-Einheit 13 mit 
Betriet>s- Oder Batteriespannung. Die Detektions-Einheit 13 kann ein Ungestecktseir^Sensor oder irgend einen anderen 
Sensor uberwachen und hat eine Selbsthaltung, welche vom Prozessor rQcksetzbar ist Der Zustand (ist Selbsthaltung 
Oder nicht ausgelOst) der Detektions-Einheit 13 wird vom Prozessor 120 Qber die Leitung 139 at>gefragt Oder die 
Detektions-Einheit 13 v^rd vom Prozessor 120 Qber die Leitung 137 ausgelOst bzw. rQckgesetzt. Nach dem Rucksetzen 
wird eine statische PrUfung auf AnschiulS durchgefOhrt Dazu wird Qber eine Leitung 192 Massepotential abgefragt, 
welches am AnschluQ P4 des Interfaces des postalischen Sicherheitsmoduls PSM 100 anliegt und nur abfragbar ist 
wenn der Srcherheitsmodul 100 ordnungsgemaa gesteckt ist Bei gesteckten Sicherheitsmodul 100 wird Massepotential 
des negativen Pols 104 der Batterie 134 des postalischen Sicherheitsmoduls PSM 100 auf den AnschluQ P23 des 
Interfaces mit der Kontaktgruppe 102 gelegt und ist somit am Anschlud P4 des Interfaces Qber die Leitung 192 von der 
Detektions-Einheit 13 abfragbar. 

[0025] An den Pins 6 und 7 des Prozessors 120 sind Leitungen angeschlossen. welche nur bei einem, 
beispieisweise an die Hauptplatine des Meters 1. gesteckten Sicherheitsmodul 100 eine Leiterschleife 18 bilden. 
Zur dynamischen PrOfung des Angeschlossenseins des postalischen Sicherheitsmoduls PSM 100 an der Hauptplatine 
des Meters 1 werden vom Prozessor 120 wechselnde Signalpegel in ganz unregelmaOigen Zeitabstdnden an die Pin's 
6. 7 angelegt und uber die Schleife zuruckgeschleift 

[0026] Der Prozessor 120 ist mit der Ein/Ausgat>e-Einheit 125 ausgestattet, deren AnschlQsse Pin's 8, 9 zur 
Ausgabe mindestens eines Signals zur Signalisierung des Zustandes des Sicherheitsmoduls 100 dienen. An den Pin's 
8 und 9 liegen l/O-Ports der Ein/Ausgak>e-Einheit 125, an welchen modulinteme Signalmittel angeschlossen sind, 
beispieisweise farbige Lichtemitterdioden LED's 107, 108. Diese signalisieren den Modulzustand bei einem auf die 
Hauptplatine des Meters 1 gesteckten Sicherheitsmoduls 100 durch eine Offnung 109 im Metergehause. Die 
Sicherheitsmodule kOnnen in ihrem Lebenszykius verschiedene ZustSnde einnehmen. So muS z.B. detektiert werden, 
Ob das Modul gultige kryptograflsche Schlussel enthait. Weiterhin ist es auch wichtig zu unterscheiden, ob das Modul 
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funktioniert Oder defekt ist Die genaue Art und Anzahl der Modulzustdnde ist von den realisierten Funktionen im 
Modul und von der Implementierung abhSngig. 

[0027] Die Figur 3 zeigt zeigt den mechanischen Aufbau des Sicherhertsmodule nach einer ersten Variante in 
Seitenansicht Das Sicherheitsmodul ist als Mutti-Chip-Modul ausgebiidet, d.h. mehrere Funktionseinheiten sind auf 
einer Leiterplatte 106 verschattet Das Sicherheitsmodul 100 ist mit einer harten Vergu&masse 105 vergossen. wobel 

^ die Batterie 134 des Sicherheitsmoduls 100 au&erhalb der Vergufimasse 105 auf einer Leiterplatte 106 auswechselbar 
angeordnet ist Beispielsv\/eise ist es so mit einem Vergu (^material 105 vergossen, daQ das Signalmittel 107. 108 aus 
dem VerguGmaterial an einer ersten Stelle herausragt und dad die Leiterplatte 106 mit der gesteckten Batterie 134 
seitlich einer zweiten Stelle herausragt Die Leiterplatte 106 hat auGerdem Batteriekontaktklemmen 103 und 104 fCir 
den AnschluG der Pole der Batterie 134, vorzugswetse auf der BestOckungsseite oberhaib der Leiterplatte 106. Es ist 
vorgesehen. daQ zum Anstecken des postallschen Sicherheitsmoduls PSM 100 auf die Hauptplatine des Meters 1 die 
Kontaktgruppen 101 und 102 unterhalb der Leiterplatte 106 (Leiterbahnseite) des Sicherheitsmoduls 100 angeordnet 
sind. Beispielsweise dient eine Kontaktgruppe 101 zur Kommunikation des Sicherheitsmoduls 100 mit dem Meter 1 und 
eine zweite Kontaktgruppe 102 dient zur Versorgung des Sicherheitsmoduls 100 mit der Systemspannung. wobei 
mindestens etne der Kontaktgruppen 101, 102 einseitig durch das VerguGmaterial 105 umgeben ist Der 
Anwenderschaltkreis ASIC 150 steht Qber die erste Kontaktgruppe 101 - in nicht gezeigter Weise - mit dem Systembus 

iS einer Steuereinrichtung 1 in Kommunikationsverbindung und die zweite Kontalctgruppe 102 dient der Versorgung des 
Sicherheitsmoduls 100 mit der Systemspannung. Wird das Sicherheitsmodul auf die Hauptplatine gesteckt, dann ist es 
vorzugsweise innerhalb des MetergehSuses dergestalt angeordnet. so daQ das Signalmittel 107. 108 nahe einer 
Offhung 109 ist Oder in diese hineinragt Das Metergehduse ist damit vorteilhaft so konstniieft, daa der Benutzer 
(fie Statusanzeige des Sicherheitsmoduls trotzdem von auQen sehen kann. Die beiden Leuchtdioden 107 und 108 des 
Signalmittels werden Qber zwei Ausgangssignale der l/O-Ports an den Pin 8. 9 des Prozessors 120 gesteuert Beide 

20 Leuchtdioden sind in einem gemeinsamen Bauelementegehduse untergebracht (Bicolorteuchtdiode), weshalb die 
AbmaGe b^. der Durchmesser der Offhung relativ ktein bleiben kann und in der GrOGenordnung des Signalmittels 
liegtPrinzipieil sind drei unterschiedliche Fart>en dar8tellk)ar (rot, grOn, orange), von denen aber nur zwei benutzt 
werden (rot und grOn). Zur Zustandsunterschekiung werden die LED's auch bPnkend gesteuert, so da& fOnf 
verschiedene Zustandsgruppen unterschieden werden kOnnen, die durch folgende LED-ZustSnde charakterisiert 
werden: LED aus, LED rot blinkend, LED rot LED grt)n biinkend, LED grdn. 

25 [0028] In der Figur 4 ist eine Draufsicht auf das postaltsche Srcherheitsmodul der ersten Variante dargesteflt 
Die VerguQmasse 105 umgibt quaderfOrmig einen ersten Teil der Leiterplatte 106. wdhrend ein zweiter Teii der 
Leiterplatte 106 fOr die auswechselbar angeordnete Batterie 134 von VerguQmasse frei bleibt Die 
Batteriekontaktklemmen 103 und 104 werden hier von der Batterie verdeckt. sind aber wieder in der Seitenansicht nach 
Rg. 5a sichtbar. 

30 [0O29] Die Figuren 5a bzw. 5b zeigen eine Ansicht des Sicherheitsmoduls der ersten Variante jeweils von rechts 
bzw. von links. Die Lege der Kontaktgruppen 101 und 102 unterhalb der Leiterplatte 106 wird aus den Figuren 5a und 
5b in Verbindung mit Figur 3 deutticher sichtt>ar. Das Signalmittel 107. 108 ist vorzugsweise im ersten Teil der 
Leiterplatte 106 angeschlossen, welches durch das Vergufimaterial 105 umgeben ist (Figuren 3. 4 und 5b). Aus 
EnergiespargrOnden erfolgt nur bei Versorgung des Sicherheitsmoduls mit Systemspannung die Signalisierung des 
Modulzustandes. 

35 [0O3O] Die Figur 6 zeigt zeigt den mechanischen Auft>au des Sicherheitsmoduls nach einer zweiten Variante in 
Seitenansicht Das Sicherheitsmodul ist wieder als Muiti-Chip-Modui ausgebiidet und mit einer harten Vergufimasse 
105 vergossen, wobei die Batterie 134 des Sicherheitsmoduls 100 auOerhalb der VerguC^asse 105 auf einer 
Leiterplatte 106 auswechselbar angeordnet ist Aus Kostengrunden erfolgt der VerguG an einer ersten Stelle so mit 
einem VerguQmaterial 105, dass das Signalmittel 107, 108 und die gesteckte Batterie 134 extem vom VerguQmaterial 
an einer zweiten Steile auf der Oberseite der Leiterplatte 106 montiert sind. Die Leiterplatte 106 hat wieder 

^ Batteriekontaktklemmen 103 und 104 fOr den AnschluQ der Pole der Batterie 134, vorzugsweise auf der 
BestOckungsseite oberhaib der Leiterplatte 106. Die t>eiden Leuchtdioden 107 und 108 des Signalmittels sind bei 
dieser Variante separate Baueiemente. Die beiden Leuchtdioden 107 und 108 des Signalmittels werden Uber zwei 
Ausgangssignale der l/O-Ports an den Pin 8, 9 des Prozessors 120 gesteuert Zur Zustandsunterscheidung kOnnen die 
LED's wiederum auch blinkend gesteuert werden, so dass mindestens fOnf verschiedene Zustandsgruppen 

^ unterschieden werden kOnnen. die k>eispielsweise durch folgende LED-Zustande charakterisiert werden: LED 107. 108 
beide aus. LED 107 rot blinkend, LED 107 rot leuchtend, LED 108 grQn blinkend, LED 108 grOn leuchtend. Das 
Metergehduse ist et)enfaUs wieder so konstruiert da& der Benutzer die Statusanzeige des Sicherheitsmoduls von 
auHen, beispielsweise durch ein Sichtfenster oder eine OfTnung 109 sehen kann. 

[0O31] Es ist et)enfails vorgesehen, dass zum Anstecken des postalischen Sicherheitsmoduls PSM 100 auf die 
Hauptplatine des Meters 1 die Kontaktgruppen 101 und 102 unterhalb der Leiterplatte 106 des Sicherheitsmoduls 100 
50 angeordnet sind. Vorteilhaft enthdit ein Verbinder 127 die Kontaktgruppen 101 und 102. wobei der Verbinder 127 auf 
der Leiterbahnseite der Leiterplatte 106 angeordnet ist 

[0032] In der Figur 7 ist eine Draufsicht auf das postatische Sicherheitsmodul der zweiten Variante dargestellt 
Die VergulSmasse 105 umgibt quaderfOrmig den ersten Teil der Leiterplatte 106, wahrend der zweite Teil der 
Leiterplatte 106 fur die beiden Leuchtdioden 107 und 108. die auswechselbar angeordnete Batterie 134 und fOr den 
Verbinder 127 (hier nicht sichtbar) frei von Vergu&masse bleibt Die Batteriekontaktklemmen 103 und 104 werden in 
^ der Figur 7 von der Batterie verdeckt sind aber ebenso wie der Verbinder 127 in der Seitenansicht nach Fig. 8a 
sichtbar. 

[0033] Der VerguQ des ersten Teiis der Leiterplatte 106 zeigt weder OfFnungen noch Erhebungen und bietet somit 
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weniger Angriffspunkte fur ein Manipulation in krimineller Absicht Das VerguGmaterial 105 ist vorzugsweise ein 
Zweikomponenten-Epoxitharz Oder Polynner bzw. Kunststoff. Geeignet ist eine Vergufimasse aus STYCAST ®2651-40 
FR von der Firma EMERSON & CUMING mit vorzugsweise CATALYST 9 als zweite Komponente. Bei der Herstellung 
des Vergusses werden beide Komponenten gemischt und auf beide Seiten der Leiterpiatte 106 in deren ersten Teit 
aufgebracht. Letzteres kann beispietsweise durch Eintauchen in die fhsche Mischung erfolgen. Nun kann eine • nach 
einem abschlieGend dusserem VerguQ von aussen nicht sichtbare > Schutz- und/oder Sensorschicht angebracht 
werden, welche wShrend des Aushdrtens des VerguQmaterials 105 mit letzterem eine feste Verbindung eingeht Nach 
dem abschlteQenden dusseren VerguH hdrtet die Vergussmasse zu dem festen undurchsichtigen Vergu (^materials 105 
aus. 

[0034] Die Figuren 8a bzw. db zeigen eine Ansiclit des Sicherheitsmoduls der zweiten Variante jeweils von rechts 
bzw. von links. Die Lags des Verbinders 127 mit den Kontaktgruppen 101 und 102 untertialb der Leiterpiatte 106 wird 
aus den Figuren 8a und 8b in Verbindung mit Ftgur 6 deutlicher sichtbar. 

[0035] Afternativ kann betspieiswetse ein Verbinder 127 - in nicht gezeigter Weise - auf der Oberseite des 
zweiten Teils der Lerterplatte 106 angebracht werden. 

[0036] Effindungsgemdft ist das postalische Gerat, insbesondere eine Frankiermaschine, jedoch kann das 
Sicherheitsmodul auch eine andere Bauform aufwetsen, die es ermOgltcht da& es betspieiswetse auf die Hauptplatine 
eines Personalcomputers gesteckt werden kann, der ais PC-Frankierer etnen handeisQblichen Drucker ansteuert 
[0037] Die Ertindung ist nicht auf die vorltegenden AusfQhrungsform beschrdnkt, da offensichttich weitere andere 
Anordnungen bzw. Ausfuhrungen der Erfindung entwickett bzw. eingesetzt werden kdnnen, die - vom gleichen 
Grundgedanken der Erfindung ausgehend - von den antiegenden SchutzansprOchen umfaQtv^rden. 



20 Patentansprtlche 

1. Sicherheitsmodui mit Statussignalisierung, mtt Funktionseinheiten, weiche miteinander verschaltet und von einer 

Vergu&masse bedeckt sind, 
gekennzelchnet dadurch. 

dafi die VerguQmasse (105) mindestens einen Teil der Leiterpiatte (106) mit den verechalteten Funktionseinheiten 
umgibt daft zur Signaiisierung des Modutzustandes ein optisches Oder akusdsches Signalmittel (107. 108) an einer 
Funktlonseinheit der Leiterpiatte (106) angeschk)8sen ist 

Z Sicherheitsmodul,nach Anspruch 1, gekennzeichnet dadurch, dad Signalmittel (107. 108) im ersten Teil der 
Leiterpiatte (106) in demjenigen Bereich durch das VerguGmaterial (105) hindurchragt, wo das umgebende 
Sicherheitsgehduse eines Gerdtes zur Signaiisierung des Modutzustandes ein Sichtfenster Oder eine Offnung (109) 
^ aufweist 

3. Sicherheitsmodul. nach Anspruch 1. gekennzeich net dadurch, dass ein zweiter Teil der Leiterpiatte (106) von 
VerguGmasse frei bleibt daQ Signalmittel (107, 108) im zweiten Teil der Leiterpiatte (106) in demjenigen Bereich 
montiert ist. wo das umgebende Sicherheitsgehduse eines Gerates zur Signaiisierung des Modulzustandes ein 
Sichtfenster Oder eine Offnung (109) au^eist 

35 

4. Sicherheitsmodul. nach den AnsprQchen 2 Oder 3. gekennzelchnet dadurch, dall das Gerat ein Meter (1) ist 
und dass sich das Sichtfenster Oder die Offhung (109) zur Bedienobeiflache (88, 89) des Meters (1) erstreckt und 
dad die Abmafte bzw. der Ourchmesser der Offnung in der GrOfienordnung des SIgnalmittels liegen. 

5. Sicherheitsmodul, nach einem der AnsprOche 1 bis 4. gekennzelchnet dadurch, daft das Signalmittel als 
40 Anzeigeeinheit reallsiert ist 

6. Steherheitsmodul. nach Anspruch 5, gekennzelchnet dadurch, da& die Anzeigeeinheit eine Oder mehrere Oder 
mehrfartslge Leuchtdloden (LED's) einschfiefit 

7. Sicherheitsmodul. nach Anspruch 6, gekennzelchnet dadurch, daQ die Leuchtdloden LED's zur 
45 Zustandsunterscheidung blinkend gesteuert werden. 

8. Sicherheitsmodul, nach Anspruch 5, gekennzelchnet dadurch. daft die Anzeigeeinheit eine 
FlOssigkristallanzeige (LCD) ist 

9. Sicherheitsmodul, nach Anspruch 1, gekennzelchnet dadurch. daQ ein zweiter Teil der Leiterpiatte (106) fur 
^ eine auswechselbar angeordnete Batterie (134) ausgebildet ist und von Vergu&masse frei bleibt. 

Batteriekontaktklemmen (103 und 104) fQr den Anschiu^ der Pole der Batterie (134) aufweist. dal^ die Leiterpiatte 
(106) eine erste Kontaktgruppe (101 zur Kommunikation des Sicherheitsmoduls (100) mit dem Meter (1) und datt 
die Leiterpiatte (106) eine zweite Kontaktgruppe (102) zur Versorgung des Sicherheitsmoduls (100) mit der 
Systemspannung aufweist wobei der Modulzustandes gedndert wird. wenn die Batteriespannung unter eine 
vorbestimmte Schwelle stnkt. wobei jedoch die Signaiisierung des Modulzustandes nur bei Versorgung des 
Sicherheitsmoduls mit Systemspannung aktiviert wird. 

10. Sicherheitsmodul. nach Anspruch 9, gekennzelchnet dadurch, dass mindestens eine der Kontaktgruppen (101. 
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102) einseitig durch das Verguamaterial (105) umgeben tst 

11. Sicherheitsmodul, nach Anspaich 9, gekennzelchnet dadurch. dad ein Verbinder (127) mit den Kontaktgruppen 
(101. 102) auf der Unterseite oder auf der Oberseite der Leiterptatte 106 angeordnet ist 

12. Sicherheitsmodul, nach Anspruch 11, gekennzelchnet dadurch. daft ein Verbinder (127) mit den 
Kontalctgruppen (101. 102) auf der Unterseite Oder auf der Oberseite der Leiterplatte 106 im zweiten Teit 
angeordnet ist der frei von VerguQmaterial (105) Ist 
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Fig. 8a Fig. 8b 



11. 



This Page is Inserted by IFW Indexing and Scanning 
Operations and is not part of the Official Record 

BEST AVAILABLE IMAGES 

Defective images within this document are accurate representations of the original 
documents submitted by the applicant. 

Defects in the images include but are not limited to the items checked: 

□ BLACK BORDERS 

□ IMAGE CUT OFF AT TOP, BOTTOM OR SffiES 

□ FADED TEXT OR DRAWING 

□ BLURRED OR ILLEGIBLE TEXT OR DRAWING 

□ SKEWED/SLANTED IMAGES 

□ COLOR OR BLACK AND WHITE PHOTOGRAPHS 

□ GRAY SCALE DOCUMENTS 

□ LINES OR MARKS ON ORIGINAL DOCUMENT 

□ REFERENCE(S) OR EXHIBIT(S) SUBMITTED ARE POOR QUALITY 

□ OTHER: 

IMAGES ARE BEST AVAILABLE COPY. 
As rescanning these documents will not correct the image 
problems checked, please do not report these problems to 
the IFW Image Problem Mailbox. 



